漏洞概要
关注数(24)
关注此漏洞
漏洞标题:百合网存储型XSS获取管理员cookie
提交时间:2012-11-08 18:01
修复时间:2012-12-23 18:01
公开时间:2012-12-23 18:01
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:12
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2012-11-08: 细节已通知厂商并且等待厂商处理中
2012-11-09: 厂商已经确认,细节仅向厂商公开
2012-11-19: 细节向核心白帽子及相关领域专家公开
2012-11-29: 细节向普通白帽子公开
2012-12-09: 细节向实习白帽子公开
2012-12-23: 细节向公众公开
简要描述:
百合网存储型XSS一枚,我继续捧场。。
详细说明:
百合网意见反馈处存在存储型XSS,只是检测了是否有特殊字符,并没有对转换后的字符做过滤。。。
导致了XSS的出现。。。
看图吧。。。
求妹纸。。。
漏洞证明:
修复方案:
过滤。。。因为只有会员才能发私信,我又没钱。。所以没继续测试。。
版权声明:转载请注明来源 鬼魅羊羔@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2012-11-09 16:00
厂商回复:
感谢 鬼魅羊羔 对百合的关注和支持,我们会尽快处理此问题,谢谢。
最新状态:
暂无
漏洞评价:
评论
-
2012-11-08 18:35 |
0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)
-
2012-11-08 21:00 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2012-11-08 23:03 |
0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)
-
2012-11-08 23:27 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2012-11-09 00:42 |
0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)
@鬼魅羊羔 对阿 扫一大批域名 一个个的意见反馈。。。 你懂的
-
2012-11-09 00:44 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
。。。好主意,我是看见有个基友在弄世纪佳缘和百合网,就跟着凑热闹了。。
-
2012-11-09 03:44 |
0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)
@鬼魅羊羔 = = 完了 告诉你 下次盲打进去某个站 指不定就看见你的钩子了
-
2012-11-09 09:33 |
Finger 
( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)
@鬼魅羊羔 话说 昨天你提交前我也盲打到了 可你丫的先提交了
-
2012-11-09 09:39 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
@Finger ...还好我快,我昨天弄完百合的,弄世纪佳缘的,然后一起提交了。。本来打算再找找珍爱网的,一并提交,还好,我偷懒了,先提交了。。要不就没我啥事了。。
-
2012-11-13 21:28 |
蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)
-
2012-12-27 15:41 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
@鬼魅羊羔 感觉百合网和世纪佳缘差不多,基本一个有的另一个肯定也会有。。。
-
2012-12-27 15:45 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2014-12-01 17:04 |
孔卡 ( 实习白帽子 | Rank:42 漏洞数:12 | 我已经过了那个餐桌上只有一条鸡腿就一定能...)
@鬼魅羊羔 能稍微讲下你第2张图的转码怎么做的么 <>如何把尖括号干掉的 求详细解释 默默关注你
